Un fichier de demande de signature de certificat (CSR) est quelque chose que vous générez et donnez à une autorité de certification, qui à son tour signe et vous envoie le certificat SSL demandé utilisé pour activer HTTPS sur votre serveur Web.
De quoi se compose un fichier CSR ?
Les fichiers CSR contiennent des informations sur votre organisation et le type de certificat que vous demandez. Ils sont généralement générés automatiquement à l'aide d'un utilitaire comme OpenSSL. Si vous utilisez LetsEncrypt, la création du fichier CSR est entièrement gérée par certbot pour vous.
Les fichiers CSR contiennent les informations suivantes :
- Nom commun (CN) – Le nom d'hôte de votre serveur. Il doit correspondre exactement, sinon vos utilisateurs verront une page d'erreur dans leur navigateur indiquant que le certificat n'est pas fiable. Vous pouvez utiliser des caractères génériques (par exemple, *.domain.com) pour demander un certificat générique s'appliquant à tous les sous-domaines. Un caractère générique comme celui-ci s'applique à www, mais si vous cherchez à sécuriser votre domaine racine et tous les sous-domaines, vous aurez besoin de deux certificats distincts. Le nom commun est le seul champ techniquement requis, vous pouvez donc laisser tout le reste vide si vous le souhaitez. Cependant, il est bon de remplir les autres.
- Organisation (O) – Le nom légal complet de votre entreprise, y compris les suffixes tels que LLC. Si vous demandez un certificat EV ou OV (ce qui est totalement inutile), il devra être validé. Cependant, pour un SSL normal, vous pouvez mettre n'importe quoi, car ce n'est ni vérifié ni même requis.
- Unité organisationnelle (OU) – Division de votre entreprise qui gère le certificat.
- Pays (C) – ; Le code de pays à deux lettres du pays dans lequel vous vous trouvez.
- État/Comté/Région (S) – Le nom complet de l'état dans lequel vous vous trouvez.
- Ville/Localité (L) – Le nom complet de la ville dans laquelle vous vous trouvez.
- Adresse e-mail – L'adresse e-mail de votre organisation.
- La clé publique RSA utilisée
Le seul qui affecte la façon dont votre fichier CSR est traité est votre nom commun. Le nom de domaine devra être validé pour vous empêcher d'enregistrer le domaine de quelqu'un d'autre ; l'autorité de certification vous demandera plus tard dans le processus de prouver que vous possédez le domaine, mais le fichier CSR n'a aucun effet sur cela.
CONNEXION : Qu'est-ce qu'un fichier PEM et comment l'utilisez-vous ?
Le fichier CSR lui-même est au format PEM et constitue une grande partie des données encodées en base64 :
—– BEGIN DEMANDE DE CERTIFICAT —– MIICYDCCAUgCAFAwGzEZMBcGA1UEAwwQKi5wcm92aWRlbmNlLnBlbTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALA3vPkQJejmFk20mZT/J2995ibnz9MV 2HD + ltxX0gS9/rDZgGZA8nyPojpXVJbLxJ5PuSqmyZrDA2F3YvCwy13b7QZT/F56 mH3103cVaefhfy + Lc7JSJZtJkw6mVBz9Vz + cpmc3hm0DV3tIZW4L8DKYVQoWl3Ed N0nsHykoI02ZoVdDL + AZU6sNJ2LV9j0LuS2YZkGU7PHsij2W2zROtyL7HdnZp5m6 6e8e6ro9uBoCHBVSEeCDgBHLVQ92IRzPTzpSDr7dYhA2YHPbrjt6T63IgwiR4CU0 2Iq282KasNw1jkyIil9/5GPsqHH5Fw0Le/7Goqrk2Ez3zHwu7pv88AkCAwEAAaAA MA0GCSqGSIb3DQEBCwUAA4IBAQADq9KOCkyLNA7t6RDPatw006CR8zETGqlfnQ2h jxjDZlBWZbAVg6ftEMawxuKRbfw1bmJn53QSMpeX5HiMQLHliw3vsoIsRMPbwdxr j2ydJhYO95ktk4JRvD3/YR8hRYrGD4EYlsC + u1RwWTXXZ9ZjTvDtf4LZccKAysOW vM88R3pWCpDzTg4KWDw1jsq7Y9ISTYuBkd7d + d7GvK/VxITx8kSAgJRGkd54nlet pZdBwdY95Jg0AyecAE5GSNPiHmRTkm/rTXIPOyGY1kO9Mk/c+q+ZTEhH53v5bzUw yrLZuJkNL3KiNbZIWvQ3ljHNeM3+9437n4W3nDTcGL2BiIFI-C à la place, vous pouvez utiliser un outil comme OpenSSL pour le générer sur votre serveur.
Comment créer un fichier CSR
Si votre serveur exécute Linux, vous aurez probablement déjà installé OpenSSL si vous avez installé Apache ou Ubuntu. Sinon, vous pouvez l'installer à partir du gestionnaire de packages de votre distribution :
sudo apt-get install openssl Advertisement
Ensuite, exécutez la commande suivante pour lancer l'assistant de création de CSR :
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csrCela générera une nouvelle clé privée à utiliser pendant le processus et l'enregistrera dans server.key. Vous serez alors invité à saisir vos informations ; vous pouvez laisser la majeure partie vide si vous le souhaitez, mais assurez-vous que le nom commun est correct.
< p>Votre demande de signature sera enregistrée sur server.csr. Votre clé publique est incluse dans cette demande, mais vous souhaiterez enregistrer la clé privée pour les renouvellements futurs.
Vous devrez ensuite fournir le fichier CSR à votre autorité de certification. pour poursuivre le processus de création du certificat SSL. Si vous utilisez certbot, cela est géré automatiquement et vous n'aurez pas à vous soucier des fichiers CSR.